Header Manipulation

最新推荐文章于 2024-01-31 17:16:18 发布
最新推荐文章于 2024-01-31 17:16:18 发布
阅读量1w 收藏 2
点赞数
分类专栏: secure

ABSTRACT

HTTP 响应头文件中包含未验证的数据会引发 cache-poisoning、cross-site scripting、cross-user defacement、page hijacking、cookie manipulation 或 open redirect。

EXPLANATION

以下情况中会出现 Header Manipulation 漏洞:

1. 数据通过一个不可信赖的数据源进入 Web 应用程序,最常见的是 HTTP 请求。

2. 数据包含在一个 HTTP 响应头文件里,未经验证就发送给了 Web 用户。

如同许多软件安全漏洞一样,Header Manipulation 只是通向终端的一个途径,它本身并不是终端。从本质上看,这些漏洞是显而易见的:一个攻击者将恶意数据传送到易受攻击的应用程序,且该应用程序将数据包含在 HTTP 响应头文件中。

其中最常见的一种 Header Manipulation 攻击是 HTTP Response Splitting。为了成功地实施 HTTP Response Splitting 盗取,应用程序必须允许将那些包含 CR(回车,由 %0d 或 \r 指定)和 LF(换行,由 %0a 或 \n 指定)的字符输入到头文件中。攻击者利用这些字符不仅可以控制应用程序要发送的响应剩余头文件和正文,还可以创建完全受其控制的其他响应。

如今的许多现代应用程序服务器和框架可以防止 HTTP 头文件感染恶意字符。例如,Microsoft 的 .NET 框架的最新版本会在 CR、LF 和 NULL 字符被传送给 HttpResponse.AddHeader() 方法时将其转换为 %0d、%0a 和 %00。如果您正在使用的最新的 .NET 框架不允许使用新行字符设置头文件,则应用程序便不会容易受到 HTTP Response Splitting 攻击。然而,单纯地过滤换行符可能无法保证应用程序不受 Cookie Manipulation 或 Open Redirects 的攻击,因此必须在设置带有用户输入的 HTTP 头文件时采取措施。

例:下列代码片段会从 HTTP 请求中读取网络日志项的作者名字 author,并将其置于一个 HTTP 响应的 cookie 头文件中。 

protected System.Web.UI.WebControls.TextBox Author;
...
string author = Author.Text;
Cookie cookie = new Cookie("author", author);
...


假设在请求中提交了一个字符串,该字符串由标准的字母数字字符组成,如 "Jane Smith",那么包含该 cookie 的 HTTP 响应可能表现为以下形式: 

HTTP/1.1 200 OK
...
Set-Cookie:author=Jane Smith
...


然而,因为 cookie 的值是根据未经验证的用户输入形成的,所以只有当传递给 Author.Text 的值不包含任何 CR 和 LF 字符时,响应才会保留这种形式。如果攻击者提交的是一个恶意字符串,比如 "Wiley Hacker\r\nHTTP/1.1 200 OK\r\n...",那么 HTTP 响应就会被分割成以下形式的两个响应: 

HTTP/1.1 200 OK
...
Set-Cookie:author=Wiley Hacker

HTTP/1.1 200 OK
...


显然,第二个响应已完全由攻击者控制,攻击者可以用所需的头文件和正文内容构建该响应。攻击者可以构建任意 HTTP 响应,从而发起多种形式的攻击,包括:cross-user defacement、网络和浏览器 cache poisoning、cross-site scripting 和 page hijacking。

cross-user defacement:攻击者可以向一个易受攻击的服务器发出一个请求,导致服务器创建两个响应,其中第二个响应可能会被曲解为对其他请求的响应,而这一请求很可能是与服务器共享相同 TCP 连接的另一用户发出的。这种攻击可以通过以下方式实现:攻击者诱骗用户,让他们自己提交恶意请求;或在远程情况下,攻击者与用户共享同一个连接到服务器(如共享代理服务器)的 TCP 连接。最理想的情况是,攻击者只能通过这种做法让用户相信自己的应用程序已经遭受了黑客攻击,进而对应用程序的安全性失去信心。最糟糕的情况是,攻击者可能提供经特殊技术处理的内容,这些内容旨在模仿应用程序的执行方式,但会重定向用户的私人信息(如帐号和密码),将这些信息发送给攻击者。

cache-poisoning: 如果多用户 Web 缓存或者单用户浏览器缓存将恶意构建的响应缓存起来,该响应的破坏力会更大。如果响应缓存在共享的 Web 缓存(如在代理服务器中常见的缓存)中,那么使用该缓存的所有用户都会不断收到恶意内容,直到清除该缓存项为止。同样,如果响应缓存在单个用户的浏览器中,那么在清除该缓存项以前,该用户会不断收到恶意内容。然而,影响仅局限于本地浏览器的用户。

Cross-Site Scripting:一旦攻击者控制了应用程序传送的响应,就可以选择多种恶意内容来传播给用户。Cross-Site Scripting 是最常见的攻击形式,这种攻击在响应中包含了恶意的 JavaScript 或其他代码,并在用户的浏览器中执行。基于 XSS 的攻击手段花样百出,几乎是无穷无尽的,但通常它们都会包含传输给攻击者的私人数据(如 Cookie 或者其他会话信息)。在攻击者的控制下,指引受害者进入恶意的网络内容;或者利用易受攻击的站点,对用户的机器进行其他恶意操作。对于易受攻击的应用程序用户,最常见且最危险的攻击就是使用 JavaScript 将会话和 authentication 信息返回给攻击者,而后攻击者就可以完全控制受害者的帐号了。

Page Hijacking:除了利用一个易受攻击的应用程序向用户传输恶意内容,还可以利用相同的根漏洞,将服务器生成的供用户使用的敏感内容重定向,转而供攻击者使用。攻击者通过提交一个会导致两个响应的请求,即服务器做出的预期响应和攻击者创建的响应,致使某个中间节点(如共享的代理服务器)误导服务器所生成的响应,将本来应传送给用户的响应错误地传给攻击者。因为攻击者创建的请求产生了两个响应,第一个被解析为针对攻击者请求做出的响应,第二个则被忽略。当用户通过同一 TCP 连接发出合法请求时,攻击者的请求已经在此处等候,并被解析为针对受害者这一请求的响应。这时,攻击者将第二个请求发送给服务器,代理服务器利用针对受害者(用户)的、由该服务器产生的这一请求对服务器做出响应,因此,针对受害者的这一响应中会包含所有头文件或正文中的敏感信息。

Cookie Manipulation:当与类似 Cross-Site Request Forgery 的攻击相结合时,攻击者就可以篡改、添加、甚至覆盖合法用户的 cookie。

Open Redirect:如果允许未验证的输入来控制重定向机制所使用的 URL,可能会有利于攻击者发动钓鱼攻击。

REFERENCES

[1] Standards Mapping - OWASP Top 10 2010 - (OWASP 2010) A1 Injection

[2] Standards Mapping - OWASP Top 10 2004 - (OWASP 2004) A1 Unvalidated Input

[3] Standards Mapping - OWASP Top 10 2007 - (OWASP 2007) A2 Injection Flaws

[4] Standards Mapping - Security Technical Implementation Guide Version 3 - (STIG 3) APP3510 CAT I

[5] Standards Mapping - Security Technical Implementation Guide Version 3.4 - (STIG 3.4) APP3510 CAT I

[6] Standards Mapping - Common Weakness Enumeration - (CWE) CWE ID 113

[7] A. Klein Divide and Conquer:HTTP Response Splitting, Web Cache Poisoning Attacks, and Related Topics

[8] D. Crab HTTP Response Splitting

[9] Standards Mapping - Web Application Security Consortium 24 + 2 - (WASC 24 + 2) HTTP Response Splitting

[10] Standards Mapping - Payment Card Industry Data Security Standard Version 1.2 - (PCI 1.2) Requirement 6.3.1.1, Requirement 6.5.2

[11] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 - (PCI 1.1) Requirement 6.5.1

[12] Standards Mapping - Payment Card Industry Data Security Standard Version 2.0 - (PCI 2.0) Requirement 6.5.1

[13] Standards Mapping - FIPS200 - (FISMA) SI


转载自:http://sebug.net/paper/books/vulncat/dotnet/header_manipulation.html

lijunlinlijunlin
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
静态代码扫描问题修复之--(输入验证 重定向[NodeJS])
csdn466412618的博客
05-13 1332
防止Node.js应用中的输入验证与重定向漏洞,是保障网络安全的关键。本文剖析了因未验证用户输入导致的重定向攻击风险,如钓鱼欺诈,影响前端JavaScript及Node.js后端逻辑。为加固安全,建议采取严格措施,避免使用不可信数据构造重定向URL,推荐建立合法URL白名单机制。优化示例展示了如何限制用户输入为预设选项,并提供了一个安全的URL打开函数,以及Node.js后端的验证逻辑,确保重定向操作仅指向安全地址,有效抵御潜在威胁。实施这些策略,能显著提升应用防护等级,维护用户数据与系统安全。
3d-glo-landing:登陆页面“ 3D GLO”
05-28
HTML5引入了许多新特性,如语义化标签(如<header>、、等),这使得页面结构更清晰,有利于搜索引擎优化和无障碍访问。 在功能方面,模态窗口提供了一种非侵入式的弹出层,用户可以在不离开当前页面的情况下查看或...
Header Manipulation 漏洞
copyright0501的博客
01-14 3449
今天扫代码发现漏洞, 暂定解决方法: //全局交易流水号 String esbTranNo = StringUtils.isNotBlank(getRequest().getHeader("ESB-TRANNO")) ? getRequest().getHeader("ESB-TRANNO") : ""; //检验Header Manipulation 输入验证并验证 其属性是否正确 if (StringUtils.isNotEmpty(esbTranNo)) { try { .
fortify扫描问题总结
04-07
fortify扫描问题总结,系统安全类
.Header Manipulation漏洞
热门推荐
张无忌_蜘蛛侠的博客
11-06 1万+
1)简介:以下情况中会出现 Header Manipulation 漏洞: 1. 数据通过一个不可信赖的数据源进入 Web 应用程序,最常见的是 HTTP 请求。 2. 数据包含在一个 HTTP 响应头文件里,未经验证就发送给了 Web 用户。 如同许多软件安全漏洞一样,Header Manipulation 只是通向终端的一个途径,它本身并不是终端。从本质上看,这些漏洞是显而易见的:一个攻...
关于header的操作
妖艳的许三多的博客
04-15 293
$.ajax({ type: ‘HEAD’, // 获取头信息,type=HEAD即可 url : “/login3”, dataType: “json”, data: data, complete: function( xhr,data ){ // 获取相关Http Response header var wpoInfo = { // 服务器端时间 “date” : xhr.getRespons...
漏洞修复:Header Manipulation
CutelittleBo的博客
01-21 4314
漏洞介绍 假设在请求中提交了一个由标准的字母和数字字符组成的字符串,如 index.html,那么包含此 cookie 的 HTTP 响应可能表现为以下形式: HTTP/1.1 200 OK ... location: index.html ... 然而,因为该位置的值由未经验证的用户输入组成,所以仅当提交给 some_location 的值不包含任何 CR 和 LF 字符时,响应才会保留这种形式。 如果攻击者提交的是一个恶意字符串,比如 : index.html\r\nHTTP/1.1 200 OK\r
开发安全之:Header Manipulation
最新发布
irizhao的专栏
01-31 1348
假设在请求中提交了一个由标准字母数字字符组成的字符串,如“index.html”,则包含该 Cookie 的 HTTP 响应可能表现为以下形式: HTTP/1.1 200 OK ... location: index.html ... 然而,因为该位置的值由未经验证的用户输入组成,所以仅当提交给 some_location 的值不包含任何 CR 和 LF 字符时,响应才会保留这种形式。应用程序可能通过共享的数据存储器或其他可信赖的数据源接受输入,而该数据存储器所接受的输入源可能并未执行适当的输入验证。
北京市北海公园代码审计报告整理.pdf
11-19
- **Header Manipulation: Cookies (高)**:可能存在Cookie操纵漏洞,攻击者可篡改用户Cookie,进行会话劫持或身份冒充。 **整改建议** 对于发现的每个漏洞,应采取针对性的整改措施,例如: - 对输入数据进行...
IPv6 Dual Stack Security Implications
07-17
- **报头操纵与分片攻击(Header Manipulation and Fragmentation)**:攻击者通过对数据包的报头进行篡改或者发送恶意分片来实施攻击。 - **第三层到第四层欺骗(Layer 3-Layer 4 Spoofing)**:通过伪造源地址或...
metalang99:用于C99预处理程序元编程的功能语言
02-08
// Compile-time list manipulation { // 3, 3, 3, 3, 3 static int five_threes[] = { M_listEvalCommaSep ( M_listReplicate ( v ( 5 ), v ( 3 ))), }; // 5, 4, 3, 2, 1 static int from_5_to_1[] = { M_...
impedance-control-an-approach-to-manipulation-part-I-theory1985
10-25
NEVILLE HOGAN 经典阻抗控制论文。机器人控制操作技术初学者必备!!!
jQuery手风琴菜单
07-03
2. **DOM操作(DOM Manipulation)**:jQuery提供了方便的方法来操作DOM元素,如`append()`用于在元素内部添加内容,`html()`用于获取或设置元素的HTML内容。 3. **事件处理(Event Handling)**:使用`on()`函数...
header manipulation 漏洞_iOS 13漏洞百出,苹果进行内部整改,iOS 14将采用新的开发方式...
weixin_39845220的博客
11-04 170
iOS 13正式推出已经两个月多了,在短短的两个月的时间里,iOS 13大大小小的版本就推送更新了七八次,今年的iOS 13被认为是历史上漏洞和问题最多的iOS版本,苹果如此频繁推送iOS版本更新,大多数情况并不是要加入新的功能,而是为了修复上一个版本带来的问题。有很多小伙伴留言问,iOS 13哪个版本比较好,这个版本值不值得升。这问题真的太难了,相信关注iOS 13的小伙伴都知道,iOS 13每...
解决高风险代码Header Manipulation
qq_45752401的博客
12-12 1600
CrossSite Scripting 是最常见的攻击形式,这种攻击在响应中包含了恶意的 JavaScript 或其他代码,并在用户的浏。因为攻击者创建的请求产生了两个响应,第一个被解析为针对攻击者请求做出的响应,第二个则被忽略。和 LF 字符是 HTTP Response Splitting 攻击的核心,但其他字符,如“:”(冒号)和 ‘=’(等号),在响应标头。Manipulation 或 Open Redirects 的攻击,因此必须在设置带有用户输入的 HTTP 头文件时采取措施。
header manipulation 漏洞_【资讯】HPE 修补了两个关键的远程可利用漏洞
weixin_39838798的博客
11-04 462
Hewlett Packard Enterprise发布了针对两个关键漏洞的补丁程序,一个漏洞在StoreServ管理控制台中被确认,另一个漏洞则影响了BlueData EPIC软件平台和Ezmeral容器平台。最严重的问题存在于HPE StoreServ管理控制台(SSMC)3.7.0.0中,CVE-2020-7197漏洞可以利用远程绕过身份验证保护,其CVSS评分为10。SSMC是基...
使用fortify 扫描出的HeaderManipulation漏洞.
weixin_42998692的博客
10-24 5861
使用fortify 扫描出的HeaderManipulation漏洞. HTTP响应截断:数据包含在一个 HTTP 响应头文件里,未经验证就发送给了 Web 用户。 HTTP 响应头文件中包含未验证的数据会引发 cache-poisoning、cross-site scripting、cross-user defacement、page hijacking、cookie manipulation...
记录一次header manipulation的解决
YSF2017_3的博客
07-22 1万+
如题,最近在进行系统安全测试的时候,文件下载出了点问题,fortify扫描出了header manipulation漏洞。因为接手的是别人的代码,很疑惑他当时为什么要用控制响应头的方法去进行文件下载传输。 原来的代码大概是这样的 @RequestMapping("files/download",method=RequestMethod.GET) public void download(@R...
header
仅个人收集用,请不要抱太大期望
12-07 512
header("Content-type: text/html; charset=utf-8");  //设置UTF8 header("HTTP/1.1 301 Moved Permanently");header("Location:http://www.qq.com "); //301跳转
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值